Kerberos協(xié)議詳情詳情及安全系統(tǒng)系統(tǒng)性分析報(bào)告材料

1、Kerberos協(xié)議及其安全性分析一、概況：Kerberos協(xié)議是20世紀(jì)80年代由MIT開發(fā)的一種協(xié)議。Kerberos主要是為TCP/IP網(wǎng)絡(luò)設(shè)計(jì)的可信第三方鑒別協(xié)議，允許客戶以一種安全的 方式來(lái)訪問(wèn)網(wǎng)絡(luò)資源。Kerberos的基礎(chǔ)是NS協(xié)議。他與NS協(xié)議不同 在于：kerberos認(rèn)為所有的時(shí)鐘已經(jīng)同步好了。Kerberos基于對(duì)稱密鑰體質(zhì)，通常采用的 DES，但也可用其他算法 替代。他與網(wǎng)絡(luò)上的每個(gè)實(shí)體共享一個(gè)不用的密鑰，是否知道共享密鑰便 是實(shí)體的身份證明。Kerberos的基本原理：在一個(gè)分布式的Client/Server體制機(jī)構(gòu)中采用一個(gè)或多個(gè)kerberos服務(wù)器提供一個(gè)鑒別服

2、務(wù)?？蛻舳讼胝?qǐng)求應(yīng)用服 務(wù)器Server上的資源時(shí)，首先客戶端向 kerberos認(rèn)證服務(wù)器請(qǐng)求一張 身份證明，然后將身份證明交給Server進(jìn)行驗(yàn)證，Server在驗(yàn)證通過(guò)后， 即為客戶端分配請(qǐng)求資源。、票據(jù)：票據(jù)是kerberos中一個(gè)重要概念。票據(jù)是 kerberos協(xié)議中用來(lái)記 錄信息、密鑰等得數(shù)據(jù)結(jié)構(gòu)，客戶端用它向 Server證明身份，包括了客 戶端身份標(biāo)識(shí)、會(huì)話密鑰、時(shí)間戮和其他信息。所有內(nèi)容都是用Server密鑰加密，因此只有認(rèn)證服務(wù)器和合法驗(yàn)證者知道密鑰， 而客戶端是不知 道這個(gè)密鑰的，故無(wú)法篡改票據(jù)內(nèi)容根據(jù)黨情對(duì)認(rèn)證服務(wù)器的請(qǐng)求和客戶端獲得票據(jù)的方式，kerberos服務(wù)器

3、自動(dòng)設(shè)置標(biāo)志：（1）初始化表示（2）認(rèn)證前標(biāo)志（3）非法標(biāo)志（4）更新標(biāo)志（5）延期標(biāo)志（6）代理和代理標(biāo)志（7）前趨標(biāo)志三、域：域指一個(gè)kerberos服務(wù)器直接提供認(rèn)證服務(wù)的有效范圍。通常 kerberos系統(tǒng)使用領(lǐng)域來(lái)控制一個(gè)由認(rèn)證服務(wù)器進(jìn)行認(rèn)證的區(qū)域，每個(gè) 認(rèn)證服務(wù)器建立和維護(hù)自己的區(qū)域，并且支持跨域認(rèn)證，即一個(gè)域中的客戶端能夠被另一個(gè)域的服務(wù)器認(rèn)證。四、Kerberos的工作過(guò)程：Kerberos協(xié)議分為兩個(gè)部分:1 . Client向KDC發(fā)送自己的身份信息，KDC從Ticket GrantingService 得到 TGT(ticket-grantingticket)，并用協(xié)議開

4、始前 Client 與KDC之間的密鑰將TGT加密回復(fù)給Clie nt。此時(shí)只有真正的Client才能利用它與KDC之間的密鑰將加密后的TGT 解密，從而獲得TGT。（此過(guò)程避免了 Client直接向KDC發(fā)送密碼，以求通過(guò)驗(yàn)證的不安全 方式）2. Client利用之前獲得的 TGT向KDC請(qǐng)求其他Service的Ticket，從 而通過(guò)其他Service的身份鑒別。Kerberos協(xié)議的重點(diǎn)在于第二部分，簡(jiǎn)介如下：1 . Client將之前獲得TGT和要請(qǐng)求的服務(wù)信息（服務(wù)名等）發(fā)送給KDC , KDC 中的 Ticket Granting Service 將為 Client 和 Servi

5、ce 之間生成一 個(gè)Session Key用于Service對(duì)Client的身份鑒別。然后 KDC將這個(gè) Session Key和用戶名，用戶地址（IP）,服務(wù)名，有效期,時(shí)間戳一起 包裝成一個(gè)Ticket（這些信息最終用于Service對(duì)Client的身份鑒別）發(fā) 送給Service，不過(guò)Kerberos協(xié)議并沒(méi)有直接將Ticket發(fā)送給Service， 而是通過(guò)Client轉(zhuǎn)發(fā)給Service.所以有了第二步。2 .此時(shí)KDC將剛才的Ticket轉(zhuǎn)發(fā)給Client。由于這個(gè)Ticket是要給 Service的，不能讓Client看到，所以KDC用協(xié)議開始前KDC與Service 之間的密鑰

6、將 Ticket加密后再發(fā)送給 Client。同時(shí)為了讓 Client和 Service之間共享那個(gè)秘密（KDC在第一步為它們創(chuàng)建的 Session Key）， KDC用Client與它之間的密鑰將 Session Key加密隨加密的Ticket 一 起返回給Client。3. 為了完成Ticket的傳遞，Client將剛才收到的Ticket轉(zhuǎn)發(fā)到Service. 由于Client不知道KDC與Service之間的密鑰，所以它無(wú)法算改Ticket 中的信息。同時(shí)Client將收到的Session Key解密出來(lái)，然后將自己的 用戶名，用戶地址（IP）打包成Authenticator 用Sess

7、ion Key 加密也 發(fā)送給Service。4. Service收到Ticket后利用它與KDC之間的密鑰將Ticket中的信 息解密出來(lái)，從而獲得Session Key和用戶名，用戶地址（IP），服務(wù)名， 有效期。然后再用Session Key將Authenticator 解密從而獲得用戶名， 用戶地址（IP）將其與之前Ticket中解密出來(lái)的用戶名，用戶地址（IP） 做比較從而驗(yàn)證Client的身份。5. 如果Service有返回結(jié)果，將其返回給 Client。五、Kerberos 協(xié)議的安全性分析:Kerberos協(xié)議擁有不少優(yōu)點(diǎn)，如：密碼不易被竊聽、密碼不在網(wǎng)上傳輸， 相比其他協(xié)議更

8、安全、密碼猜測(cè)更困難、對(duì)于用戶而言更便捷：一次使用口令登 錄，可以獲得多個(gè)服務(wù)。但是，Kerberos協(xié)議本身并不是無(wú)限安全的，而且也不能自動(dòng)提供安全。其安 全威脅存在于以下幾個(gè)方面：1、kerberos不能解決拒絕服務(wù)攻擊2、入侵者通過(guò)某種方法竊取了主體的私鑰，他就能冒充身 份3、Kerberos無(wú)法應(yīng)付口令猜測(cè)攻擊4、要保證網(wǎng)絡(luò)上每個(gè)主機(jī)時(shí)鐘都是松散同步的5、要保證主體的標(biāo)識(shí)不能頻繁地循環(huán)使用。針對(duì)kerberos的安全弱點(diǎn)，我們可以使用 TPM增強(qiáng)kerberos安全性:1、建立一個(gè)信任根：信任根的可信性由物理安全和管理安全確保。2、 建立一條信任鏈：從信任根開始到硬件平臺(tái)、到BIOS、到操作系統(tǒng)，一級(jí)測(cè)量認(rèn)證一級(jí)，一級(jí)信任一級(jí)，從而把這種信任擴(kuò)展到整個(gè)計(jì)算機(jī)系統(tǒng)。此過(guò)程中的日志將會(huì)被存儲(chǔ)到存儲(chǔ)器中，每一步的測(cè)量值將會(huì)存儲(chǔ)到TPM中。3、把日志及TPM中的各種測(cè)量值報(bào)告給操作系統(tǒng)(OS)，由操作系統(tǒng)綜合日志及測(cè)量值判斷此平臺(tái)是否符合可信標(biāo)準(zhǔn)，若